Backdoor.Sdbot.amh

病毒名称:

Backdoor.Sdbot.amh

类别： 后门病毒

病毒资料：

破坏方法：

一个集后门蠕虫于一身的蠕虫病毒.

病毒行为:

病毒运行后将自己复制到％system％目录下,文件名为:

X-Bot.exe

并在注册表中增加以下注册表键值:

1

HKEY_LOCAL_MACHINE\Software\Microsoft

\Windows\Currentversion\Run

"Microsoft Synchronization Manager" = X-BOT.EXE

2

HKEY_CURRENT_USER\Software\Microsoft

\Windows\Currentversion\Run

"Microsoft Synchronization Manager" = X-BOT.EXE

3

HKEY_LOCAL_MACHINE\Software\Microsoft

\Windows\Currentversion\RunServices

"Microsoft Synchronization Manager" = X-BOT.EXE

随后病毒驻留内存,将以特定的昵称登录特定的mirc服务器。以方便病毒作者进行控制.

控制者可能进行文件下载,上传,启动.网络Flooder攻击等操作.

局域网传播:

病毒尝试对局域系统进行ipc联接,(病毒用体内带的密码字典进行管理员用户密码试探) 一但成功,病毒将自己复制到目标系统的以下目录。以达到传播目的.

C$\windows\system32

C$\Documents and Settings\All Users\Documents

C$

C$\shared

PRINT$

IPC$

C$\winnt\system32

ADMIN$\system32

盗取游戏cdkey:

病毒将从注册表:

Software\IGI 2 Retail\CDKey

Software\Electronic Arts\EA GAMES\Generals\ergc

Software\Electronic Arts\EA Sports\FIFA 2003 \ergc

Software\Electronic Arts\EA GAMES\Need For Speed Hot Pursuit 2\ergc

Software\BioWare\NWN\Neverwinter

SOFTWARE\Red Storm Entertainment\RAVENSHIELD

SOFTWARE\Electronic Arts\EA GAMES\Battlefield 1942 The Road to Rome

SOFTWARE\Electronic Arts\EA GAMES\Battlefield 1942

...

获取cdkey.以备控制者查取.

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2004-12-29

• ·Backdoor.HawkBot.a
• ·Backdoor.Afcore.ao
• ·Backdoor.Agobot.3.a.enc
• ·Backdoor.Agobot.3.b.enc
• ·Backdoor.Delf.bv.enc
• ·Backdoor.Ositdoor.110.h
• ·BackDoor.Huigezi.qs2003
• ·Backdoor.SdBot.ci.enc
• ·Backdoor.Ositdoor.110.i
• ·Backdoor.Avstral.f